Scroll untuk baca artikel
Networking

Paysafe palsu, Skrill SDK di NPM dan PyPi mencuri kredensial

4
×

Paysafe palsu, Skrill SDK di NPM dan PyPi mencuri kredensial

Share this article
paysafe-palsu,-skrill-sdk-di-npm-dan-pypi-mencuri-kredensial
Paysafe palsu, Skrill SDK di NPM dan PyPi mencuri kredensial

Paysafe palsu, Skrill SDK di NPM dan PyPi mencuri kredensial

Paket berbahaya di Node Package Manager (npm) dan Python Package Index (PyPI) mengirimkan malware pencuri ke pengembang dan pengguna aplikasi pembayaran Paysafe, Skrill, dan Neteller.

Example 300x600

Pelaku ancaman menerbitkan setidaknya 17 paket berbahaya secara bersamaan, masing-masing bertugas untuk mengekstrak kredensial dan mengakses token ke server perintah dan kontrol yang dihosting di Amazon Web Services (AWS).

Ketiga platform pembayaran tersebut populer, dengan Paysafe sebagian besar digunakan oleh situs e-niaga dan pasar online, platform game, bisnis perjalanan, dan penyedia layanan keuangan atau penyedia perangkat lunak sebagai layanan (SaaS).

gambar

Skrill dan Neteller adalah dompet digital dan layanan transfer uang yang digunakan dalam taruhan online, pertukaran mata uang kripto, dan platform perdagangan Forex.

Pengembang perangkat lunak yang bekerja pada platform tersebut mengintegrasikan SDK Paysafe ke dalam aplikasi dan situs web untuk menerapkan sistem pembayaran dan pengelolaan dana yang aman.

Menurut perusahaan keamanan aplikasi Socket, para pengembang ini adalah target kampanye terbaru melalui paket berikut:

  1. npm/paysafe-checkout
  2. npm/paysafe-vault
  3. npm/neteller
  4. npm/skrill-pembayaran
  5. npm/paysafe-js
  6. di npm/paysafe
  7. npm/paysafe-node
  8. npm/paysafe-card
  9. npm/paysafe-penipuan
  10. npm/paysafe-kyc
  11. npm/skrill
  12. npm/skrill-sdk
  13. npm/paysafe-pembayaran
  14. pypi/paysafe-kyc
  15. pembayaran pypi/paysafe
  16. pypi/paysafe-sdk
  17. pypi/paysafe-api

Para peneliti mengatakan bahwa paket 13 npm menerbitkan empat versi berbahaya, dari 1.0.0 hingga 1.0.3, sedangkan paket PyPI hanya menerbitkan satu versi berbahaya, 1.0.0.

Ke-17 paket tersebut berpura-pura menjadi SDK pembayaran yang sah, bahkan memperlihatkan API yang diharapkan, namun malah mengembalikan respons keberhasilan palsu daripada berkomunikasi dengan layanan backend Paysafe.

Tujuan sebenarnya adalah pencurian kredensial, karena kode berbahaya yang tertanam mencari lingkungan yang disusupi untuk mencari rahasia seperti token, kata sandi, dan kunci API.

Menurut Socket, data yang dieksfiltrasi mencakup kunci API Paysafe, kunci AWS, token GitHub, token npm, nama host, nama pengguna, dan metadata tentang penggunaan API.

Logika pencurian data di npm (kiri) dan di PyPI (kanan)
Fungsi pencurian data di npm (kiri) dan di PyPI (kanan)
Sumber: Soket

Modul pencurian data dalam paket npm mencoba melakukan eksfiltrasi hanya jika kunci API Paysafe ada dan aktif ketika SDK palsu dipanggil.

Paket PyPI secara otomatis mengaktifkan rutinitas pencurian data saat inisialisasi dan tidak memerlukan kunci API Paysafe sama sekali.

Analisis Socket terhadap malware tersebut mengungkapkan bahwa malware tersebut menyertakan beberapa fitur anti-analisis yang cukup mendasar, menghentikan eksekusi jika mendeteksi kurang dari 2 inti CPU atau jika nama host atau nama pengguna berisi isyarat yang menunjukkan lingkungan tervirtualisasi.

Pemeriksaan anti-analisis
Pemeriksaan anti-analisis
Sumber: Soket

Tidak jelas siapa yang berada di balik kampanye ini, namun laporan Socket menyoroti beberapa atribut yang menunjukkan bahwa pelaku ancaman cukup teknis dan mungkin kembali dengan cara yang lebih terorganisir.

Para peneliti memperingatkan bahwa kemampuan penyerang untuk berpindah antar ekosistem mungkin membuat pertahanannya lebih sulit jika hanya ada satu ekosistem yang terlihat.

Jika salah satu paket terdaftar telah diinstal, pengembang disarankan untuk segera “memutar semua rahasia di mesin mana pun yang mengimpor atau menjalankan paket ini”.

Para peneliti juga menyarankan pencarian pohon ketergantungan untuk nama paket yang digunakan dalam kampanye dan menolak permintaan apa pun untuk nama paket tersebut di tingkat proxy registri.

Disarankan juga untuk melihat log sistem Continuous Integration (CI). PAYSAFE_API_KEY dalam kombinasi dengan salah satu nama paket yang terdaftar.

gambar artikel

Uji setiap lapisan sebelum penyerang melakukannya

Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.

Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.

Dapatkan whitepapernya